Professional Documents
Culture Documents
NOMBRE FECHA
1.1 24/06/2016 Alineacin con algunos requisitos del estndar ETSI 101 456
Referencia: DPC/CPUS0101/SGPSC/2016
Documento clasificado como: Pblico
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
NDICES
NDICE DE CONTENIDOS
1. Introduccin .................................................................................................................................................. 5
4. Definiciones ................................................................................................................................................... 6
5. Seudnimos ................................................................................................................................................... 7
8. Gestin del ciclo de vida de las claves del Prestador de Servicios de Confianza ..................................... 8
8.1. Gestin del ciclo de vida de las Claves ................................................................................................. 8
8.1.1. Generacin de las Claves del Prestador de Servicios de Confianza ............................................. 8
8.1.2. Almacenamiento, salvaguarda y recuperacin de las Claves del Prestador de Servicios de
Confianza 8
8.1.3. Distribucin de los Datos de verificacin de Firma del Prestador de Servicios de Confianza ..... 8
8.1.4. Almacenamiento, salvaguarda y recuperacin de las Claves Privadas de los Titulares ............... 9
8.1.5. Uso de los Datos de Creacin de Firma del Prestador de Servicios de Confianza ........................ 9
8.1.6. Fin del ciclo de vida de las Claves del Prestador de Servicios de Confianza................................ 9
8.1.7. Ciclo de vida del hardware criptogrfico utilizado para firmar Certificados ................................ 9
Pgina 2 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
12. Prcticas de certificacin particulares para los Certificados de Persona Fsica .............................. 20
12.1. Servicios de Gestin de las Claves ...................................................................................................... 20
12.2. Gestin del ciclo de vida de los Certificados ...................................................................................... 20
12.2.1. Procedimiento de solicitud del Certificado de Persona Fsica .................................................... 20
12.2.2. Confirmacin de la identidad personal ....................................................................................... 21
12.2.2.1. Comprobacin de la identidad mediante comparecencia fsica .......................................... 22
12.2.2.2. Uso de certificados electrnicos como medio de identificacin ........................................ 22
12.2.3. Expedicin del Certificado de Persona Fsica ............................................................................. 23
12.2.4. Aceptacin, descarga e instalacin del Certificado de Persona Fsica ........................................ 25
12.2.5. Vigencia del Certificado de Persona Fsica ................................................................................ 25
12.2.5.1. Caducidad........................................................................................................................... 25
12.2.5.2. Extincin de la vigencia del Certificado ............................................................................ 25
12.2.6. Revocacin del Certificado de Persona Fsica ............................................................................ 26
12.2.6.1. Causas de revocacin ......................................................................................................... 26
12.2.6.2. Efectos de la revocacin..................................................................................................... 27
12.2.6.3. Procedimiento para la revocacin ...................................................................................... 27
12.2.7. Suspensin del Certificado de Persona Fsica ............................................................................. 28
12.2.7.1. Causas de la suspensin del Certificado ............................................................................. 28
12.2.7.2. Efectos de la suspensin ..................................................................................................... 29
12.2.7.3. Procedimiento para la suspensin de Certificados ............................................................. 29
12.2.8. Renovacin del Certificado de Persona Fsica ............................................................................ 29
12.3. Comprobacin del estado del Certificado de Persona Fsica ............................................................. 30
Pgina 3 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
NDICE DE TABLAS
Tabla 1 - Certificado Autoridad de Certificacin AC FNMT Usuarios ..................................... 35
Tabla 2 - Perfil del Certificado de Persona Fsica ............................................................................ 38
Pgina 4 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
1. INTRODUCCIN
Pgina 5 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
3. ORDEN DE PRELACIN
4. DEFINICIONES
Pgina 6 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
5. SEUDNIMOS
10. Todos los Certificados emitidos bajo esta poltica son de conformidad con el estndar X.509
versin 3. El anexo III de este documento refleja el perfil completo del Certificado.
11. La codificacin de los Certificados sigue la recomendacin RFC 5280 Internet X.509
Public Key Infrastructure Certificate and Certificate Reocation List (CRL) Profile. Todos
los campos definidos en el perfil de los Certificados en el anexo II de las presentes Polticas
de Certificacin, excepto en los campos que especficamente se exprese lo contrario,
emplean la codificacin UTF8String.
Pgina 7 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
14. La extensin Certificate Policy incluye el campo OID de poltica, que identifica la poltica
asociada al Certificado por parte de la FNMTRCM, as como los dos campos relacionados
en el apartado anterior.
17. Las Claves de la FNMT-RCM, como Prestador de Servicios de Confianza, son generadas
en circunstancias completamente controladas, en un entorno fsicamente seguro y, al menos,
por dos personas autorizadas para ello, utilizando sistemas hardware y software que
cumplen con la normativa actual en materia de proteccin criptogrfica, tal y como se
muestra en la Declaracin General de Prcticas de Certificacin.
18. La FNMT-RCM utiliza los mecanismos necesarios para mantener su Clave privada
confidencial y mantener su integridad en la forma que se muestra en la Declaracin General
de Prcticas de Certificacin.
Pgina 8 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
20. Los Certificados de Persona Fsica son expedidos por una Autoridad de Certificacin
subordinada a la Autoridad de Certificacin raz de la FNMT RCM. Las caractersticas de
ambas Autoridades de Certificacin se recogen en el anexo I del presente documento.
21. Por tanto, los Certificados expedidos bajo la Poltica de Certificacin identificada en este
documento vendrn firmados electrnicamente con los Datos de Creacin de Firma del
Prestador de Servicios de Confianza.
22. Los certificados raz de las Autoridades de Certificacin que intervienen en la expedicin
de los certificados de Persona Fsica se encuentran definidos en el anexo II del presente
documento.
23. La FNMT-RCM bajo ningn concepto genera ni almacena las Claves Privadas de los
Titulares de los Certificados, las cuales son generadas bajo el exclusivo control del
Solicitante, y cuya custodia est bajo la responsabilidad del Titular del certificado asociado
a dichas Claves Privadas.
8.1.5. Uso de los Datos de Creacin de Firma del Prestador de Servicios de Confianza
8.1.6. Fin del ciclo de vida de las Claves del Prestador de Servicios de Confianza
25. La FNMT-RCM dispondr de los medios necesarios para lograr que, una vez finalizado el
perodo de validez de las Claves del Prestador de Servicios de Confianza, estas Claves no
vuelven a ser utilizadas, bien destruyndolas o almacenndolas de forma apropiada para
dicha finalidad.
8.1.7. Ciclo de vida del hardware criptogrfico utilizado para firmar Certificados
26. La FNMT-RCM dispondr de los medios necesarios para posibilitar que el hardware
criptogrfico utilizado para la proteccin de sus Claves como Prestador de Servicios de
Confianza, no sufra manipulaciones de acuerdo con el estado de la tcnica a la fecha durante
todo su ciclo de vida, estando situado dicho componente en un entorno fsicamente seguro
desde su recepcin hasta su destruccin llegado el caso.
Pgina 9 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
27. Las operaciones y procedimientos realizados para la puesta en prctica de las Poltica de
Certificacin reflejada en este documento se realizan siguiendo los controles requeridos por
los estndares reconocidos para tal efecto, describindose estas actuaciones en los apartados
Controles de seguridad fsica, de procedimientos y de personal y Controles de seguridad
tcnica de la Declaracin General de Prcticas de Certificacin de la FNMT-RCM.
28. Adicionalmente cabe destacar que la FNMT-RCM posee un Sistema de Gestin de la
Seguridad de la Informacin (en adelante SGSI) para su Departamento CERES con el
objetivo final de mantener y garantizar la seguridad de la informacin de los miembros de la
Comunidad Electrnica, as como la suya propia, de forma que los servicios FNMT-RCM-
CERES se presten con un razonable grado de seguridad conforme al estado actual de la
tcnica. El SGSI de FNMT-RCM-CERES es aplicable a los activos de informacin
definidos en el Anlisis de Riesgos realizado para todas las reas que componen el
departamento, incluyendo como activos los servicios prestados a los miembros de la
Comunidad Electrnica.
29. En el documento Declaracin General de Prcticas de Certificacin, se da respuesta
concreta para todos aquellos aspectos referentes a los siguientes apartados de la norma ETSI
TS 101 456:
Gestin de la seguridad
Clasificacin y gestin de activos
Seguridad del personal
Seguridad fsica y ambiental
Gestin de operaciones
Sistema de gestin de accesos
Desarrollo y mantenimiento de los sistemas de confianza
Gestin de la continuidad de negocio y gestin de incidentes
Terminacin de la AC
Cumplimiento de requisitos legales
Grabacin y custodia de informacin relativa a certificados reconocidos
9.2. INTEROPERABILIDAD
30. Los Certificados de Persona Fsica son expedidos por la FNMT RCM conforme a la
Resolucin de 29 de noviembre de 2012, de la Secretara de Estado de Administraciones
Pgina 10 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
11.1. IDENTIFICACIN
1
Nota: El OID o identificador de poltica es una referencia que se incluye en el Certificado al objeto de
determinar un conjunto de reglas que indican la aplicabilidad de un determinado tipo de Certificado a la
Comunidad Electrnica y/o clase de aplicacin con requisitos de seguridad comunes.
Pgina 11 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
Localizacin: http://www.cert.fnmt.es/dpcs/
DPC relacionada: Declaracin General de Prcticas de Certificacin de la FNMT-RCM
Localizacin: http://www.cert.fnmt.es/dpcs/
35. Las obligaciones y responsabilidades expresadas en este apartado se entienden sin perjuicio
de las correspondientes derivadas de la legislacin y normativa de aplicacin,
especficamente de las aplicables a la FNMT-RCM como Prestador de Servicios de
Confianza y que para tal condicin se establecen en el articulado en la Ley 59/2003, de 19
de diciembre, de Firma Electrnica, su reglamentacin de desarrollo y el REGLAMENTO
(UE) N 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de
Pgina 12 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
38. De forma adicional a las obligaciones y responsabilidades de las partes enumeradas en este
documento y en la Declaracin General de Prcticas de Certificacin, las Oficinas de
Registro tienen la obligacin de:
i) Comprobar fehacientemente la identidad y cualesquiera circunstancias personales de
los Solicitantes de los Certificados relevantes para el fin propio de estos, utilizando
cualquiera de los medios admitidos en Derecho, y conforme a lo previsto en la
Declaracin General de Prcticas de Certificacin y con carcter particular en la
presente Declaracin de Prcticas de Certificacin Particulares.
ii) Conservar toda la informacin y documentacin relativa a los Certificados de usuario,
cuya solicitud, renovacin, suspensin o revocacin gestiona durante el plazo de
tiempo establecido en la legislacin vigente.
iii) Permitir a la FNMT-RCM el acceso a los archivos y la auditora de sus
procedimientos en relacin con los datos obtenidos en calidad de Oficina de Registro.
iv) Informar a la FNMT-RCM de cualquier aspecto que afecte a los Certificados
expedidos por la FNMT-RCM (ej.: solicitudes de expedicin, renovacin).
v) Comunicar a la FNMT-RCM de forma diligente las solicitudes de expedicin de
Certificados.
Pgina 13 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
39. En todo caso la FNMT-RCM podr repetir contra la Oficina de Registro que hubiera
realizado el procedimiento de identificacin, iniciando las acciones correspondientes, si la
causa del dao tuviera su origen en la actuacin dolosa o culposa de sta.
Pgina 14 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
43. a) Identificar a la persona fsica que solicite un Certificado exigiendo, con carcter general,
su personacin y estar en posesin de nmero de Documento Nacional de Identidad o
Nmero de Identificacin de Extranjeros. Para la identificacin se proceder con arreglo al
procedimiento de registro.
b) En los procesos de comprobacin de los extremos antes sealados anteriormente la
FNMT-RCM podr realizar estas comprobaciones mediante la intervencin de Oficinas de
Registro autorizadas o de terceros que ostenten facultades fedatarias.
44. a) Garantizar que los procedimientos seguidos aseguran que las Claves privadas que
constituyan los Datos de creacin de Firma son generados sin que se realicen copias ni se
produzca el almacenamiento de los mismos por parte de la FNMT-RCM.
45. a) Conservar toda la informacin y documentacin relativa a cada Certificado, en las debidas
condiciones de seguridad, durante quince (15) aos contados desde el momento de su
expedicin, de manera que puedan verificarse las firmas efectuadas con el mismo.
b) Mantener un repositorio seguro y actualizado de Certificados en el que se identifican los
Certificados expedidos, as como su vigencia, incluyendo en forma de Listas de Revocacin
la identificacin de los Certificados que hayan sido revocados o suspendidos. La integridad
de este Directorio se proteger mediante la utilizacin de sistemas conformes con las
Pgina 15 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
48. A este respecto se puede consultar el apartado Cese de la actividad del Prestador de
Servicios de Certificacin. de la Declaracin General de Prcticas de Certificacin.
Pgina 16 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
51. FNMT-RCM no responder en caso de fuerza mayor, atentado terrorista, huelga salvaje, as
como en los supuestos que se trate de acciones constitutivas de delito o falta que afecten a
sus infraestructuras prestadoras, salvo que hubiera mediado culpa grave de la entidad. En
todo caso, en los correspondientes contratos y/o convenios FNMT-RCM podr establecer
clusulas de limitacin de responsabilidad. En todo caso, la cuanta que en concepto de
daos y perjuicios debiera satisfacer por imperativo judicial la FNMT-RCM a terceros
perjudicados, y/o miembros de la Comunidad electrnica en defecto de regulacin
especfica en los contratos o convenios, se limitan a un mximo de SEIS MIL EUROS
(6.000) euros.
Pgina 17 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
61. El resto de la Comunidad Electrnica, Entidades usuarias y los terceros regularn sus
relaciones con la FNMT-RCM a travs de la Declaracin General de Prcticas de
Certificacin, y, en su caso, a travs de estas Polticas y Prcticas de Certificacin
Particulares; todo ello sin perjuicio de lo dispuesto en la normativa sobre firma electrnica
y dems normativa que resulte de aplicacin.
62. Sin perjuicio de lo contenido en el prrafo anterior los miembros de la Comunidad
Electrnica, Entidades usuarias y los terceros que confan en los Certificados y en las
Firmas electrnicas generadas con los mismos, debern cumplir las siguientes obligaciones,
exonerando de cualquier responsabilidad al Prestador de Servicios de Confianza en caso de
que alguna no sea cumplida:
Pgina 18 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
63. Ser responsabilidad de la Entidad usuaria y de los terceros que confen en Certificados
expedidos por la FNMT-RCM, salvo contratacin de esta obligacin con esta Entidad, la
verificacin de las Firmas electrnicas de los documentos, as como de los Certificados, no
cabiendo en ningn caso presumir la autenticidad de los documentos o Certificados sin
dicha verificacin.
64. No podr considerarse que la Entidad usuaria ha actuado con la mnima diligencia debida si
confa en una firma electrnica basada en un Certificado emitido por la FNMT-RCM sin
haber observado lo dispuesto en la Declaracin General de Prcticas de Certificacin y en
el presente documento y comprobado que dicha firma electrnica puede ser verificada por
referencia a una Cadena de certificacin vlida.
65. Si las circunstancias indican necesidad de garantas adicionales, la Entidad usuaria deber
obtener garantas adicionales para que dicha confianza resulte razonable.
67. Para poder usar los Certificados de forma diligente a la hora de confiar en documentos
firmados electrnicamente con base en los mismos, se deber previamente formar parte de
la Comunidad Electrnica, adquirir la condicin de Entidad usuaria o ser una tercera parte
que confa en los Certificados, con la finalidad que puedan ser prestados por la FNMT-
RCM los servicios de comprobacin de vigencia de los diferentes Certificados.
68. En cualquier caso, fuera de la Comunidad Electrnica, si una Entidad usuaria o un tercero
desean confiar en la firma electrnica realizada con uno de estos Certificados, sin acceder a
los servicios de comprobacin de la vigencia de los Certificados expedidos bajo esta
Pgina 19 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
71. La FNMT-RCM, bajo ningn concepto, genera ni almacena las Claves Privadas de los
Titulares, que son generadas bajo su exclusivo control.
72. En este apartado se definen aquellos aspectos que, si bien ya han sido apuntados en la
Declaracin General de Prcticas de Certificacin de la que este documento forma parte,
revisten determinadas especialidades que necesitan un mayor nivel de detalle.
A continuacin se describe el procedimiento de solicitud por el que la Oficina de Registro
toma los datos personales de un Solicitante, confirma su identidad y se formalizan, entre el
citado Solicitante y la FNMT-RCM, las condiciones de uso para la posterior expedicin del
Certificado de Persona Fsica.
73. El interesado accede al sitio web del Prestador de Servicios de Confianza de la FNMT-
RCM, a travs de la direccin http://www.cert.fnmt.es, donde se mostrarn las instrucciones
del proceso completo de obtencin del Certificado de Persona Fsica. El Solicitante deber
Pgina 20 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
Pgina 21 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
81. Los Solicitantes de Certificados de Persona Fsica debern comparecer fsicamente para
formalizar el procedimiento de confirmacin de identidad personal, presentndose en la
Oficina de Registro autorizada, con los siguientes medios de identificacin: Ciudadanos
espaoles: DNI, vlido y vigente, u otros medios admitidos en derecho a efectos de
identificacin (en los que conste su nmero de DNI/NIF). Ciudadanos de la UE: Tarjeta de
Identificacin de Extranjeros o Pasaporte o documento de identidad de pas de origen y
nmero de NIE (que conste en el Certificado de Ciudadano de la Unin o en otro documento
administrativo original vigente). Extranjeros: Tarjeta de Identificacin de Extranjeros o
Pasaporte y nmero de NIE (que conste en un documento administrativo original vigente).
El encargado de acreditacin de la Oficina de Registro verificar que los documentos
aportados cumplen todos los requisitos para confirmar la identidad del Solicitante.
82. La personacin del Solicitante no ser indispensable si la firma en la solicitud de expedicin
de un Certificado ha sido legitimada en presencia notarial, si se emplea un certificado
electrnico como medio de identificacin conforme el siguiente apartado, o si se solicita una
renovacin del Certificado, de conformidad con lo dispuesto en el apartado Renovacin del
Certificado de Persona Fsica del presente documento.
83. Una vez confirmada la identidad del Solicitante por la Oficina de Registro, esta proceder a
validar los datos y a enviarlos a la FNMT-RCM, junto con el cdigo de solicitud remitido al
Solicitante por correo electrnico. Esta transmisin de informacin se realizar mediante
comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y la FNMT-
RCM. Los datos personales y su tratamiento, en su caso, quedarn sometidos a la legislacin
especfica.
Pgina 22 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
86. Una vez recibidos en la FNMT-RCM los datos personales del Solicitante, as como su
cdigo de solicitud, se proceder a la expedicin del Certificado de Persona Fsica.
87. La expedicin de Certificados de Persona Fsica supone la generacin de documentos
electrnicos que confirman la identidad del Titular as como su correspondencia con la
Clave Pblica asociada. La expedicin de Certificados de Persona Fsica de la FNMT-
RCM slo puede realizarla ella misma, en su calidad de Prestador de Servicios de
Confianza, no existiendo ninguna otra entidad u organismo con capacidad de expedicin de
los mismos.
88. La FNMT-RCM, por medio de su Firma electrnica, autentica los Certificados de Persona
Fsica y confirma la identidad del Titular. Por otro lado y con el fin de evitar la
manipulacin de la informacin contenida en los Certificados, la FNMT-RCM utilizar
mecanismos criptogrficos que doten de autenticidad e integridad al Certificado.
89. La FNMT-RCM, en ningn caso, incluir en un Certificado informacin distinta de la aqu
mostrada, ni circunstancias, atributos especficos de los firmantes o lmites distintos a los
previstos en la presente Declaracin de Prcticas de Certificacin.
90. En cualquier caso, la FNMT-RCM actuar eficazmente para:
Comprobar que el Solicitante del Certificado de Persona Fsica utiliza la Clave
Privada correspondiente a la Clave Publica vinculada a la identidad del Titular del
mismo. Para ello, la FNMT-RCM comprobar la correspondencia entre la Clave
privada y la Clave pblica.
Lograr que la informacin incluida en el Certificado de Persona Fsica se base en la
informacin proporcionada por el Solicitante.
No ignorar hechos notorios que puedan afectar a la fiabilidad del Certificado de
Persona Fsica.
Lograr que el DN (nombre distintivo) asignado en el Certificado sea nico en toda la
Infraestructura de Clave Pblica de la FNMT-RCM.
91. Para la expedicin del Certificado se seguirn los siguientes pasos:
1. Composicin de los datos de identificacin localizados en el campo Common Name
del Subject del Certificado de Persona Fsica, a partir de los datos personales del
Solicitante recogidos durante el proceso de solicitud del Certificado de Persona
Fsica, conforme a la siguiente estructura:
Espacio en blanco
Pgina 23 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
Espacio en blanco
Ejemplo:
ESPAOL ESPAOL JUAN 00000000T
Pgina 24 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
92. En menos de una (1) hora desde que tiene lugar la confirmacin de la identidad personal del
Solicitante, la FNMT-RCM pone a disposicin exclusiva del Titular su Certificado de
Persona Fsica para que proceda a su descarga en la pgina web http://www.cert.fnmt.es.
93. En este proceso guiado se le pedir al Solicitante que introduzca el nmero de DNI o NIE
con el que se realiz el proceso de solicitud, el primer apellido, as como el correspondiente
cdigo de solicitud obtenido en dicho proceso. Este cdigo de solicitud ser empleado,
como clave concertada, para la generacin por parte del Titular de una firma electrnica de
las condiciones de uso del Certificado, como requisito imprescindible para acceder a la
descarga del mismo y como aceptacin de las condiciones de uso, remitiendo dichas
condiciones firmadas a la FNMT RCM. Si el Certificado de Persona Fsica an no
hubiera sido generado por cualquier motivo, el proceso le informar de este hecho.
94. En el momento de la descarga del Certificado de Persona Fsica, este se instalar en el
soporte en el que se generaron las Claves durante el proceso de solicitud (token
criptogrfico o, en su defecto, el Navegador desde el cual hizo la solicitud). En la citada
pgina web de la FNMT-RCM se indican los Navegadores soportados y normas de
instalacin de los certificados.
12.2.5.1. Caducidad
95. Los Certificados de Persona Fsica expedidos por la FNMT-RCM tendrn validez durante
un perodo de cuatro (4) aos contados a partir del momento de la expedicin del
Certificado, siempre y cuando no se extinga su vigencia. Transcurrido este perodo y si el
Certificado sigue activo, caducar, siendo necesaria la expedicin de uno nuevo en caso de
que el Titular desee seguir utilizando los servicios del Prestador de Servicios de Confianza.
96. Los Certificados de Persona Fsica expedidos por la FNMT-RCM quedarn sin efecto en
los siguientes casos:
a) Terminacin del perodo de validez del Certificado.
b) Cese en la actividad como Prestador de Servicios de Confianza de la FNMT-RCM,
salvo que, previo consentimiento expreso del Firmante, los Certificados expedidos
por la FNMT-RCM hayan sido transferidos a otro Prestador de Servicios de
Confianza.
En estos dos casos [a) y b)], la prdida de eficacia de los Certificados tendr lugar
desde que estas circunstancias se produzcan.
c) Suspensin o revocacin del Certificado por cualquiera de las causas recogidas en el
presente documento.
97. A los efectos enumerados anteriormente, la expedicin de un Certificado de Persona Fsica
cuando exista otro vigente a favor del mismo Titular (tanto si este es un Certificado
Pgina 25 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
expedido bajo la presente poltica como si es un Certificado FNMT Clase 2CA, expedido
bajo la poltica con OID 1.3.6.1.4.1.5734.3.5), conllevar la revocacin inmediata del
Certificado anterior. La nica excepcin a este caso se produce cuando la expedicin de un
Certificado de Persona Fsica sea causa de un proceso de renovacin del mismo durante el
periodo de tiempo de sesenta (60) das antes de su fecha de caducidad, en cuyo caso el
Certificado que est prximo a caducar seguir siendo vlido hasta que expire el perodo de
vigencia del mismo. Durante este tiempo, de producirse la revocacin de dicho Certificado
conforme al apartado siguiente, se producir la extincin de la vigencia de ambos
Certificados.
98. Sern causas admitidas para la revocacin de un Certificado de Persona Fsica las
expuestas a continuacin:
a) La solicitud de revocacin por parte del Titular. En todo caso deber dar lugar a esta
solicitud:
La prdida del soporte del Certificado.
La utilizacin por un tercero de los Datos de Creacin de Firma,
correspondientes a los Datos de Verificacin de Firma contenidos en el
Certificado y vinculados a la identidad personal del Titular.
La violacin o puesta en peligro del secreto de los Datos de Creacin de Firma.
La no aceptacin de las nuevas condiciones que puedan suponer la expedicin
de nuevas Declaraciones de Prcticas de Certificacin, durante el periodo de
un mes tras su publicacin.
b) Resolucin judicial o administrativa que as lo ordene.
c) Fallecimiento o incapacidad sobrevenida, total o parcial, del Titular.
d) Inexactitudes en los datos aportados por el Solicitante para la obtencin del
Certificado, o alteracin de los datos aportados para la obtencin del Certificado o
modificacin de las circunstancias verificadas para la expedicin del Certificado, de
manera que este ya no fuera conforme a la realidad.
e) Contravencin de una obligacin sustancial de esta Declaracin de Prcticas de
Certificacin por parte del Titular o del Solicitante del Certificado si, en este ltimo
caso, hubiese podido afectar al procedimiento de expedicin del Certificado.
f) Violacin o puesta en peligro del secreto de los Datos de Creacin de Firma.
g) Contravencin de una obligacin sustancial de esta Declaracin de Prcticas de
Certificacin por parte de una Oficina de Registro si hubiese podido afectar al
procedimiento de expedicin del Certificado.
h) Resolucin del contrato suscrito entre el Titular y la FNMT-RCM.
Pgina 26 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
99. En ningn caso la FNMT-RCM asume obligacin alguna de comprobar los extremos
mencionados en las letras c) a f) del presente apartado, debiendo ser notificadas a esta
entidad de forma fehaciente mediante entrega de los documentos e informaciones necesarias
para verificarlo.
100. La FNMT-RCM nicamente ser responsable de las consecuencias que se desprendan de no
haber revocado un Certificado en los siguientes supuestos:
Que la revocacin se debiera haber efectuado por solicitud fehaciente por parte del
Titular o por medio de los sistemas puestos a disposicin por la FNMT-RCM para
este fin.
Que la solicitud de revocacin o la causa que la motiva, le haya sido notificada
mediante resolucin judicial o administrativa.
Que las causas c) a f) del presente apartado le sean acreditadas fehacientemente,
previa identificacin del Titular y/o Solicitante de la revocacin (o persona con
facultades de representacin suficientes, si se produjera incapacidad sobrevenida del
Titular).
101. Las actuaciones constitutivas de delito o falta de las que no tenga conocimiento la FNMT-
RCM que se realicen sobre los datos y/o Certificado y las inexactitudes sobre los datos o
falta de diligencia en su comunicacin a la FNMT-RCM, producirn la exoneracin de
responsabilidad de la FNMT-RCM.
102. La revocacin o suspensin del Certificado de Persona Fsica, esto es, la extincin de su
vigencia, surtir efecto la fecha en que la FNMT-RCM tenga conocimiento cierto de
cualquiera de los hechos determinantes y desde el momento de hacerlo constar en su
Servicio de informacin y consulta sobre el estado de los certificados.
103. La revocacin del Certificado de Persona Fsica implica, adems de su extincin, la
finalizacin de la relacin y rgimen de uso de dicho Certificado con la FNMT-RCM.
104. La solicitud de revocacin de los Certificados de Persona Fsica podr efectuarse durante el
perodo de validez que consta en el Certificado.
105. La revocacin de un Certificado de Persona Fsica solamente podr ser solicitada por el
Titular o persona con facultades de representacin suficientes, si se produjera incapacidad
sobrevenida del Titular, en los trminos recogidos en las presentes Polticas de
Certificacin y Prcticas de Certificacin Particulares.
106. No obstante, la FNMT-RCM podr revocar de oficio los Certificados de Persona Fsica en
los supuestos recogidos en la presente Declaracin de Prcticas de Certificacin.
107. El Titular puede solicitar la revocacin de su Certificado de Persona Fsica conforme a
alguno de los siguientes procedimientos:
Pgina 27 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
A) Si el Titular est en posesin del Certificado de Persona Fsica y sus Datos de creacin
de Firma asociados, es posible autenticar su identidad con base a dicho Certificado, por lo
que se le permite solicitar la revocacin del mismo a travs de Internet, o de cualquier otra
va equivalente que permita la conexin a la direccin http://www.ceres.fnmt.es, siguiendo
las instrucciones expuestas en dicho sitio web. Este servicio estar disponible las
veinticuatro (24) horas del da, todos los das del ao, salvo por circunstancias ajenas a la
FNMT-RCM u operaciones de mantenimiento. La FNMT-RCM notificar esta ltima
circunstancia en la direccin http://www.ceres.fnmt.es, si es posible con al menos cuarenta
y ocho (48) horas de antelacin y tratar de solventarla en un periodo no superior a
veinticuatro (24) horas.
B) Si el Titular no est en posesin del Certificado de Persona Fsica y sus Datos de
creacin de Firma asociados, podr solicitar la revocacin de dicho Certificado por
cualquiera de las siguientes vas:
1) Personndose en una de las Oficinas de Registro implantadas por las Entidades
usuarias con las que la FNMT-RCM haya suscrito el convenio correspondiente,
donde acreditar su identidad.
2) En el telfono 902 200 616 de la FNMT-RCM, donde se le realizarn las preguntas
oportunas al objeto de verificar la verdadera identidad del peticionario. Este servicio
estar disponible las veinticuatro (24) horas del da, todos los das del ao.
108. Tan pronto se resuelva la revocacin, el Firmante recibir, a travs de la direccin de correo
electrnico consignada en la solicitud, la notificacin de la revocacin del Certificado.
109. En todos los supuestos anteriores de estas Prcticas de Certificacin particulares donde sea
necesaria la identificacin y sea posible la identificacin telemtica, se tendr en cuenta por
la FNMT-RCM las funcionalidades previstas para el DNIe, de acuerdo con la legislacin
especfica.
110. Una vez que la FNMT-RCM ha procedido a la revocacin del Certificado, se publicar en el
Directorio seguro la correspondiente Lista de Certificados Revocados conteniendo el
nmero de serie del Certificado revocado, la fecha y hora de revocacin y la causa de la
misma.
111. La suspensin de un Certificado deja sin efecto dicho Certificado durante un perodo de
tiempo y en unas condiciones determinadas.
112. La suspensin de los Certificados ser considerada una revocacin temporal de la vigencia
de los mismos por lo que los procedimientos y entidades habilitadas para la solicitud y
tramitacin de la revocacin del Certificado son de aplicacin en el caso de la suspensin.
113. La FNMT RCM podr suspender la vigencia de los Certificados de Persona Fsica a
solicitud del legtimo interesado o de Autoridad Judicial o ante la existencia de dudas
fundadas acerca de la concurrencia de las causas de extincin de la vigencia de los
Certificados contempladas en el apartado "Causas de revocacin" del presente documento.
Pgina 28 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
115. La suspensin de Certificados deja sin efecto el Certificado (extingue su vigencia) durante
un perodo de tiempo y en unas condiciones determinadas.
116. La solicitud de la suspensin de los Certificados de Persona Fsica solamente podr ser
realizada a travs de las Oficinas de Registro, implantadas por las Entidades usuarias con
las que la FNMT-RCM haya suscrito el convenio correspondiente.
117. La FNMT-RCM proceder a suspender el Certificado durante un plazo de treinta (30) das,
plazo tras el cual se extinguir el Certificado mediante su revocacin directa por parte del
Prestador de Servicios de Confianza de la FNMT-RCM, salvo que se hubiera levantado la
suspensin mediante solicitud de cancelacin de la suspensin por parte del Titular o un
tercero autorizado. No obstante lo anterior, el plazo previsto para la suspensin del
Certificado podr verse alterado en funcin de los procedimientos judiciales o
administrativos que lo pudieran afectar.
118. Si durante el plazo de suspensin del Certificado este caducara o se solicitara su revocacin,
se producirn las mismas consecuencias que para los Certificados no suspendidos que se
vieran afectados por supuestos de caducidad o de revocacin.
119. Solo se permitir una nica renovacin del Certificado de Persona Fsica. El Titular que ya
hubiera realizado una renovacin de su Certificado y quisiera seguir utilizando un
Certificado de Persona Fsica bajo las presentes Polticas de Certificacin y Prcticas de
Certificacin Particulares, deber solicitar un nuevo Certificado y confirmar su identidad
conforme al procedimiento descrito en el apartado Comprobacin de la identidad mediante
comparecencia fsica de este documento.
120. Podrn solicitar la renovacin de los Certificados de Persona Fsica expedidos por la
FNMT-RCM los Titulares de los mismos, siempre que en el momento de la solicitud
tengan un Certificado en vigor y sus Datos de creacin de Firma asociados y dicha solicitud
se efecte durante los sesenta (60) das anteriores a su caducidad.
121. La renovacin de un Certificado de Persona Fsica consistir en la generacin de nuevos
Datos de verificacin de Firma y de creacin de Firma, as como en la expedicin de un
nuevo Certificado de Persona Fsica. La solicitud de renovacin se har a travs de la
direccin http://www.ceres.fnmt.es.
Pgina 29 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
122. El antiguo Certificado que est prximo a caducar seguir siendo vlido hasta que expire el
perodo de vigencia del mismo. En caso de solicitarse la revocacin del Certificado de
Persona Fsica durante el perodo de tiempo en el que el Titular posee dos Certificados
activos, la FNMT-RCM proceder a revocar ambos Certificados.
123. El procedimiento establecido para la renovacin de un Certificado de Persona Fsica no
requiere la personacin del peticionario, ya que se le identificar telemticamente mediante
la utilizacin de sus Datos de creacin de Firma. Tanto el proceso de la solicitud como la
obtencin del Certificado se realizarn de forma telemtica, requirindose en todo caso la
generacin por parte del peticionario de una Firma electrnica avanzada, realizada con un
Certificado electrnico reconocido, del documento de solicitud de renovacin. No obstante,
solo se permitir la renovacin telemtica del Certificado de Persona Fsica cuando no se
haya superado el plazo mximo de 5 aos desde la personacin e identificacin fsica del
Titular que establece el artculo 13.4 de la Ley 59/2003, de 19 de diciembre, de firma
electrnica.
124. Las funcionalidades del DNIe se tendrn en cuenta a los efectos de identificacin de acuerdo
con su legislacin especfica.
125. La utilizacin de los Certificados de Persona Fsica renovados se sujeta a las mismas
condiciones generales y particulares vigentes en cada momento y establecidas para este tipo
de Certificados en su correspondiente Declaracin de Practicas de Certificacin.
126. El estado de revocacin del Certificado de Persona Fsica podr ser comprobado a travs
del Servicio de informacin y consulta del estado de los Certificados mediante el protocolo
OCSP.
127. Este servicio estar disponible las veinticuatro (24) horas del da, todos los das del ao,
salvo por circunstancias ajenas a la FNMT-RCM u operaciones de mantenimiento. La
FNMT-RCM notificar esta ltima circunstancia en la direccin http://www.ceres.fnmt.es
si es posible con al menos cuarenta y ocho (48) horas de antelacin y tratar de solventarla
en un periodo no superior a veinticuatro (24) horas.
128. El funcionamiento de este servicio es el siguiente: el servidor OCSP de la FNMT-RCM
recibe la peticin OCSP efectuada por un Cliente OCSP y comprueba el estado de los
Certificados incluidos en la misma. En caso de que la peticin sea vlida, se emitir una
respuesta de OCSP informando acerca del estado en el que se encuentran en ese momento
los Certificados incluidos en la peticin. Dicha respuesta OCSP est firmada con los Datos
de Creacin de Firma asociados al servidor OCSP especfico para la AC FNMT Usuarios,
garantizando as la integridad y la autenticidad de la informacin suministrada sobre el
estado de revocacin de los Certificados consultados.
129. Ser responsabilidad de la Entidad usuaria obtener un Cliente OCSP para operar con el
servidor OCSP puesto a disposicin por la FNMT-RCM.
Pgina 30 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
Pgina 31 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
2. Serial Number Nmero identificativo nico del S Integer. SerialNumber = ej: 111222.
certificado.
Establecido automticamente por la
Entidad de Certificacin. [RFC5280]. Ser
un integer positivo, no mayor 20
octetos (1- 2159).
OID: 1.2.840.113549.1.1.11
4.2. Organization Denominacin (nombre oficial S UTF8 String, tamao mximo 128
de la organizacin) del prestador (rfc5280)
de servicios de certificacin
(emisor del certificado).
o=FNMT-RCM
4.3. Organizational Unit Denominacin de la Unidad S UTF8 String, tamao mximo 128
Organizativa (rfc5280)
ou = AC RAIZ FNMT-RCM
5. Validity 15 aos S
6. Subject S
6.2. Organization Denominacin (nombre oficial S UTF8 String, tamao mximo 128
de la organizacin) del prestador (rfc5280)
de servicios de certificacin
(emisor del certificado).
o=FNMT-RCM
Pgina 32 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
6.3. Organizational Unit Denominacin de la Unidad S UTF8 String, tamao mximo 128
Organizativa (rfc5280)
ou= Ceres
6.4. Common Name cn= AC FNMT Usuarios S UTF8 String, tamao mximo 128
(rfc5280)
7. Authority Key Identifier Identificador de la clave pblica S RFC 5280: hash SHA-1 de 20 bytes
de la entidad raz. Medio para calculado sobre el valor BIT STRING del
identificar la clave pblica campo subjectPublicKey del emisor del
correspondiente a la clave certificado (excluyendo etiqueta, longitud
privada utilizada por la CA para y nmero de bits no usados).
firmar el certificado de esta CA
Subordinada Coincide con el campo Subject Key
Identifier de la AC raz.
8. Subject Public Key Info Clave pblica de la AC S Campo para transportar la clave pblica y
Subordinada FNMT Usuarios, para identificar el algoritmo con el cual se
codificada segn el estndar utiliza la clave.
PKCS#1 de RSA.
9. Subject Key Identifier Identificador de la clave pblica S RFC 5280: hash SHA-1 de 20 bytes
de la CA Subordinada. Medio calculado sobre el valor BIT STRING del
para identificar certificados que campo subjectPublicKey del sujeto
contienen una clave pblica (excluyendo etiqueta, longitud y nmero
particular y facilita la de bits no usados).
construccin de rutas de
certificacin.
10. Key Usage Uso permitido de las claves S S Normalizado en norma X509
certificadas.
Pgina 33 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
In a CA certificate,these policy
information terms limit the set of policies
for certification paths which include this
certificate. When a CA does not wish to
limit the set of policies for certification
paths which include this certificate, it
MAY assert the special policy anyPolicy,
with a value of { 2 5 29 32 0 }
11.2. Policy S
Qualifier Id
11.2.1 CPS http://www.cert.fnmt.es/dpcs/ S IA5String String. URL de las condiciones
Pointer de uso.
11.2.2 User Sujeto a las condiciones de uso S UTF8 String. Longitud mxima 200
Notice expuestas en la Declaracin de caracteres.
Prcticas de Certificacin de la
FNMT-RCM ( C/ Jorge Juan, 106-
28009-Madrid-Espaa)
12.1. Distribution Point 1 Punto de distribucin 1 de la CRL S Ruta donde reside la CRL (punto de
(ARL) distribucin 1).
ldap://ldapfnmt.cert.fnmt.es/CN
=CRL,OU=AC%20RAIZ%20FNMT-
RCM,O=FNMT-
RCM,C=ES?authorityRevocationL
ist;binary?base?objectclass=cRL
DistributionPoint
12.2. Distribution Point 2 Punto de distribucin 2 de la CRL S Ruta del servicio LDAP donde reside la
(ARL) CRL (punto de distribucin 2).
http://www.cert.fnmt.es/crls/AR
LFNMTRCM.crl
Pgina 34 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
1.3.6.1.5.5.7.48.1 (ocsp)
Pgina 35 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
Pgina 36 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
14.2.1. Nombre Nombre de pila del titular del S UTF8 String. Por ejemplo:
certificado Id Campo/Valor: 1.3.6.1.4.1.5734.1.1=JUAN
1.3.6.1.4.1.5734.1.1
=<Nombre de pila
14.2.2. Apellido1 Primer apellido del titular del S UTF8 String. Por ejemplo:
certificado Id Campo/Valor: 1.3.6.1.4.1.5734.1.2=ESPAOL
1.3.6.1.4.1.5734.1.2
=<Apellido 1
14.2.3. Apellido2 Segundo apellido del titular Opcional UTF8 String. Por ejemplo:
del certificado 1.3.6.1.4.1.5734.1.3 =ESPAOL
Id Campo/Valor:
1.3.6.1.4.1.5734.1.3
=<Apellido 2
14.2.4. NIF Identificador de identidad del S UTF8 String, tamao 9. Por ejemplo:
titular / custodio de las claves. 1.3.6.1.4.1.5734.1.4=99999999R
(NIF).
Id Campo/Valor:
1.3.6.1.4.1.5734.1.4=<NIF
15. CRL Distribution S No
Point
15.1. Distribution Point 1 Punto de distribucin 1 de la S Ruta donde reside la CRL (punto de
CRL distribucin 1). <xxx*> es un identificador
ldap://ldapusu.cert.fnmt.es/C que identificar la CRL particionada
N=CRL<xxx*>, concreta donde se halla el certificado.
CN=AC%20FNMT%20Usuarios
, OU=CERES, O=FNMT-RCM,
C=ES?certificateRevocationLis
t;binary?base?objectclass=cRL
DistributionPoint
Pgina 37 de 38
Poltica y prcticas de certificacin particulares
Certificados de personas fsicas de la AC FNMT Usuarios
Versin 1.1
Pgina 38 de 38